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Prufungsantrag gem. § 44 PatG ist gestellt 

<g) Infrastruktur fur ein System von verteirten Objektmanager-Komponenten 
® 



) Bei der Oberwachung einer Kraftwerksanlage sind eine 
Vielzahl von Oberwachungseinrichtungen mit Bearbeitungs- 
komponenten vorgesehen. die gemaS der dieser Kornponen- 
te zugeteilte technische Aufgabe an verschiedenen Stellen 
im Kraftwerk und entkoppelt voneinander instaliiert sind. Zur 
Inbetriebnahme und zum Betreiben eines solchen verteilten 
Systems ist erfindungsgemaft eine Infrastruktur (2) in einer 
Weise vorgesehen, da& die Objektmanager-Komponenten (4 
bis 16) zur Oberwachungjhres Zustandes in einem logischen 
Ring angeordnet sind./pie hierfOr vorgesehene Infrastruktur 
steuert diesen Vorgang insofern. daS vorzugsweise auf jeder 
Objektmanager-Komponente derselbe Algorithmus zum 
Auffinden der Kommunikationspartner vorgesehen ist. 
Durch diese Ausgestaltung ist ein mit Nachtailen behafteter 
zentraler Leitrechner (Oberwachungsinstanz) entbehrlich. 
Die Erfindung ist prinzipiell bei alien Einrichtungen zur 
Steuerung und Oberwachung komplexer technischer Anla- 
gen einsetzbar. Sie ist insbasondere fur das Leitsystem von 
Kraftwerksanlagen vorgesehen. 
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Beschreibung 



Die Erfindung bezieht sich auf eine Infrastruktur fur 
ein System von verteilten Objektmanager-Komponen- 
ten, insbesondere fur ein Leitsystem einer Kraftwerks- 
anlage, mit einer Anzahl von rechnergestutzten Objekt- 
manager-Komponenten. 

In einer Kraftwerksanlage sollen Oberwachungsein- 
richtungen die aktuellen Betriebszustande der Anlage 
erkennbar machen und Abweichungen von einem Soll- 
zustand melden. Dazu ist eine umfangreiche MeBwert- 
erfassung der Betriebszustande aller Anlagenteile, eine 
umfangreiche und der Komplexitat der Anlage gerecht- 
werdende MeBwertbewertung und eine unter hoher In- 
formationsverdichtung visuaiisiert aufbereitete Status- 
anzeige fur die Betriebszustande der Anlagenteile erfor- 
derlich. 

Diese vorstehend genannten Aufgaben soil ein Leit- 
system erfullen. Bedingt durch die hohe Komplexitat 
sotcher technischen Anlagen muB ein solches Leitsy- 
stem einfach und geradlinig strukturiert sein. Dies be- 
deutet zum einen, daB Anlagenteile mittels des Leitsy- 
stems uberwachbar und einstellbar sind und zum ande- 
ren, daB neue und/oder uberarbeitete und geanderte 
Kontroll-, Einstell- und/oder Auswerteoptionen in ein- 
facher Weise in das bestehende Leitsystem und seine 
Architektur integrierbar sind. 

In der deutschen Patentanmeldung P44 16 547.1 ist 
ein Leitsystem, insbesondere ein rechnergestutztes Leit- 
system, vorgeschlagen, bei dem eine hohe Konfigurier- 
barkeit einer die MeBwerte be- und auswertenden Ebe- 
ne innerhalb des Leitsystems gegeben ist Dies wird im 
einzelnen dadurch erreicht, daB die Leitebene modular 
aufgebaut ist und mehrere Funktionsbausteine umfaBt, 
die entsprechend ihrer jeweiligen Funktion Eingangs- 
werte verarbeiten und unter Berucksichtigung einer 
Anzahl von zu losenden technischen Anwendungen un- 
tereinander verkniipfbar sind. Aufgrund dieses modula- 
ren Aufbaus der Leitebene und ihrer Systeme sind eine 
nahezu beliebige Strukturierbarkeit und graphische 
Konfigurierbarkeit des Leitsystems in dieser Ebene ge- 
geben. Es konnen jederzeit Funktionsbausteine modifi- 
ziert, erganzt, weggenommen oder neu verknupft wer- 
den, urn eine zu losende technische Anwendung, wie 
z. B. die ProzeBfuhrung bestimmter Anlagenteile, die 
ProzeBinformation, die KenngroBenberechnung oder 
die Bilanzierung, durchfiihren zu konnen. Die dabei ver- 
arbeiteten Eingangswerte konnen die unmittelbar von 
der Automatisierungsebene erhaltenen MeBwerte, be- 
reits mit einer Zugehdrigkeitsfunktion bewertete MeB- 
werte, Zwischenresultate anderer Funktionsbausteine 
und uber die Betriebsfuhrungsebene vorgebbare pro- 
jektierbare Parameter sein. 

Bei einem solchen meist rechnergestutzten Leitsy- 
stem ist es wiinschenswert, wenn die Leitebene und die 
mit der Leitebene verbundenen Ebenen innerhalb einer 
gemeinsamen Systemumgebung, einer sogenannten In- 
frastruktur, gefuhrt sind. Hierzu ist es bekannt, ein Be- 
triebssystem, vorzugsweise ein handelsubliches Be- 
triebssystem. wie z. B. UNIX oder OS 2. zu verwenden. 
das die Betriebsfuhrungsebene. die Leitebene und die 
Automatisierungsebene sowie einen Datentransfer zwi- 
schen diesen Ebenen unterhalt. Bei solchen Betriebssy- 
stemen ist es dariiber hinaus wunschenswert, wenn die 
freie Verknupfbarkeit der in der Leitebene angeordne- 
ten Funktionsbausteine unterstutzt wird. und w nn eine 
weitgehende Unabhangigkeit des Leitsystems von der 
Innovationsgeschwindigkeit der Rechner- Hardware er- 



reicht wird. 

Derzeit handelsubliche Betriebssysteme. wie z. B. 
UNIX oder OS 2, sind jedoch uberfordert, wenn es im 
Rahmen einer Infrastruktur fur ein System von verteil- 
5 ten Objektmanager-Komponenten darum geht, bei- 
spielsweise ein aus einer Anzahl von rechnergestutzten 
Objektmanager-Komponenten bestehendes verteihes 
System hochzufahren. Eine nicht zufriedenstellende 
derzeitige Losung sieht hierzu einen ubergeordneten 
10 Rechner vor. der zu Beginn des Anlauf s die Informatio- 
nen uber die gesamte Konfiguration aller existierenden 
Objektmanager-Komponenten kennt Bedingt durch 
* die Komplexitat einer Kxaftwerksanlage kommt es zu 
Storungen, wenn beispielsweise der ubergeordnete 
15 Rechner gestort ist, oder wenn die Datenverbindungen 
zu diesem ubergeordneten Rechner gestort sind, oder 
wenn sich an der Gesamtkonfiguration noch kurzfristig 
vor dem Anlaufen etwas geandert hat und diese Ande- 
rungen noch nicht zu Beginn des Anlaufs beriicksichtigt 
20 worden sind. 

Neben dem Anlauf eines Systems von verteilten Ob- 
jektmanager-Komponenten ist auch der Betrieb eines 
solchen Systems nicht trivial. So sind bei der Oberwa- 
chung von Objektmanager-Komponenten und den dar- 
25 auf lokal installierten Objektmanagern durch einen 
ubergeordneten Rechner dieseiben Schwierigkeiten an- 
zutreffen, wie diese beim Anlauf eines Systems auftre- 
ten. 

Der Erfindung liegt daher die Aufgabe zugrunde, eine 
30 Infrastruktur fur ein System von verteilten Objektma- 
nager-Komponenten anzugeben, die das Problem der 
Cberwachung von am System beteiligten Objektmana- 
ger-Komponenten in einfacher Weise lost. 

Diese Aufgabe wird erfindungsgemaB dadurch gelost, 
35 daB eine Infrastruktur fUr ein System von verteilten 
Objektmanager-Komponenten mit einer Anzahl von 
rechnergestutzten Objektmanager-Komponenten, die 
jeweils mindestens einen Objektmanager ausfuhren, 
vorgesehen ist, bei der die Objektmanager-Komponen- 
40 ten zur Oberwachung ihres Zustandes in einem logi- 
schen Ring angeordnet sind. 

Hierbei wird unter einer Objektmanager- Komponen- 
te beispielsweise eine Work Station, ein Personal-Com- 
puter, ein Automatisierungssystem, wie z. B. die Ste- 
45 mens Simatic S 5 und S 7, oder eine vergleichbare rech- 
nergestutzte Einrichtung verstanden. Unter einem Ob- 
jektmanager werden insbesondere bei einer Kraft- 
. werksanlage die folgenden Komponenten verstanden. 
Es sind dies das Man-Machine-Interface, das Archiv, die 
50 Protokolliste, die Verarbeitungseinrichtung fur die Bau- 
stemtechnik, eine Datenbank fur Beschreibungs-, Sym- 
ptom- und Diagnosetexte und ein sogenannter AS-Re- 
prasentant, der das Automatisierungssystem, also die 
Schnittstelle zwischen KraftwerksprozeB und Daten- 
55 verarbeitung stiitzt. 

Auf diese Weise ist es moglich. daB in einem laufen- 
den System von verteilten Objektmanager-Komponen- 
ten die Infrastruktur derart ausgestaltet ist, daB zur 
Oberwachung des Zustandes der am System beteiligten 
eo Objektmanager-Komponenten keine ubergeordnete 
Instanz erforderlich ist. Vielmehr ist jede Objektmana- 
ger-Komponente fur eine andere Komponente die 
uberwachende Objektmanager-Komponente und wird 
gleichzeitig von einer weiteren anderen Objektmana- 
fc5 ger-Komponente uberwacht. Ein Algorithmus, nach 
welchem sich die Objektmanager-Komponenten im lo- 
gischen Ring strukturieren. kann beliebig vorgegeben 
sein, beispielsweise nach alphabetischer Reihenfolge. 
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In besonders vorteilhafter Weise erfolgt eine soiche 
Uberwachung nach dem Client-Server- Prinzip, daB ins- 
besondere vorsieht, daB eine Objektmanager-Kompo- 
nente als Client in definierten Zeitabstanden ein Signal 
an die entsprechende als Server ausgebildete Objekt- 
manager-Komponente sendet. Der Client ist in einem 
solchen Fall der Oberwachende und entsprechend ist 
der Server der Oberwachte. 

Nach dem Ausfall einer Objektmanager-Komponen- 
te wirkt es sich besonders vorteilhaft aus, wenn auf alien 
Objektmanager-Komponenten ein gleich ablaufender 
Algorithmus zur Server-Suche vorgesehen ist Auf diese 
Weise ist es gewahrleistet, daB sich der logische Ring 
nach dem Ausfail einer oder mehrerer Objektmanager- 
Komponer.ten unverzugiich zur Oberwachung des ver- 
bleibenden Teilsystems schlieBt. Bei dem vorstehend 
beispielhaft genannten Algorithmus gemaB der alpha- 
betischen Reihenfolge ist jeder Objektmanager-Kom- 
ponente eindeutig der nachste iContaktpartner zuge- 
ordnet. 

Eine besonders vorteilharte Service- Leistung fur die 
Aktualisierung der in einem Teilsystem verbleibenden 
aktiven Objektmanager-Komponenten und deren Ob- 
jektmanager sieht es vor, daB der Server einer ausgefal- 
lenen Objektmanager-Komponente deren Konfigura- 
tion kennt und den verbleibenden Objektmanager- 
Komponenten alle mit der Objek:rnanager-Komponen- 
te ausgefallenen Objektmanager mitteik. Dies ist insbe- 
sondere auch von Vorteii. wenn durch den Ausfall eines 
Objektmanagers oder der gesamten Objektmanager- 
Komponente Auftrage nicht ausgefuhrt werden kon- 
nen. Ein Wiederanmelden solcher Auftrage nach dem 
Wiederanlauf einer ausgefallenen Objektmanager- 
Komponenten oder eines solchen Objektmanagers 
kann automatisch erfolgen. 

Hinsichtlich des Cberwachungsmechanismuses ist es 
weiter vorteilhaft, wenn in einer ersten Oberwachungs- 
ebene die Objektmanager-Komponemen und in einer 
zweiten Oberwachungsebene die auf den Objektmana- 
ger-Komponenten installierten Objektmanager uber- 
wacht werden. Auf diese Weise wird es vermieden, daB 
die Infrastruktur beispielsweise nach aktiven Objektma- 
nagern such:, die auf einer gerade ausgefallenen Objekt- 
manager-Komponente installiert sind. 

Ein besonders einfacher Aufbau fur eine Server- 
Schnittstelle, die die Cberwachung der Objektmanager- 
Komponente oder des Objektmanagers manage sieht es 
vor, daB beim unbeabsichtigten Ausfail eines Objektma- 
nagers oder einer Objektmanager-Komponente (Soll- 
wert-Abweichung) und bei der Wiederherstellung eines 
ausgefallenen Objektmanagers oder einer ausgefalle- 
nen Objektmanager- Korr.por.ente (Sollwert-Errei- 
chung) ein fur alle Objektmanager-Komponenten er- 
faBbares Ereignis generierbar ist. Die entsprechenden 
Server- Schnittstellen konnen in besonders einfacher 
Wcisc auf ein solches Ereignis getriggert werden. 

Ausfuhrungsbeispiele der Erfindung werden anhand 
einer Zeichnung naher erlautert. Dabei zeigen: 

Fig. I in schematischer Darsteilung eine Infrastruktur 
fur ein verteiltes System von Objektmanager- Kompo- 
nen:en; 

Fig. 2 in schematischer Darsteilung einen in die Infra- 
struktur cingcbcttetcn Objektmanager; 

Fig. 3 in schematischer Darsteilung den Oberwa- 
chungsmechanismus der gemaB Fig. ! dargestellten In- 
frastruktur; 

Fig. 4 in schematischer Darsteilung den Oberwa- 
chungsmechanismus gemaB Fig. 3 bei dem Acsfall einer 



Objektmanager-Komponente; und 

Fig. 5 in schematischer Darsteilung den Oberwa- 
chungsmechanismus in der Infrastruktur gemaB den 
Fig. 3 und 4 in zwei Oberwachungsebenea 
5 In den Fig. 1 bis 5 haben gleiche Teile die gleichen 
Bezugszeichen. 

In der in Fig. 1 gezeigten schematischen Darsteilung 
erkennt man die Infrastruktur 2 fur ein verteiltes System 
18 von Objektmanager-Komponenten 4 bis 16 als 

* ; o schraffiert unterlegte Flachc. Das System 18 ist als Leit- 
system fur eine Kraftwerksanlage vorgesehen. Die Ob- 
jektmanager-Komponenten 4 bis 16 konnen Datenver- 
arbeitungsanlagen beliebiger Art, wie z, B. GroBrech- 
ner, Workstations, Personal-Computer und Host-Rech- 

15 ner jeglicher Art, sein. Auf den einzelnen Objektmana- 
ger-Komponenten 4 bis 16. von denen die Komponen- 
ten 10a und 10b sowie 12a und 12b redundant ausge- 
fuhrt sind, werden Objektmanager ausgefuhrt. 

Unter Objekten wercen Daten jeglicher Art, wie z. B. 

20 binare Signale, hexadezimale Signale, wie z. B. Real- 
Werte, Integer- Werte, Boolean-Werte oder String-Ket- 
ten, verstanden. Objektmanager sind also soiche hard- 
waremaBig oder auch so ftwa remaBig reaiisierte Einhei- 
ten, die Objekte beliebiger Art verwalten. Objektmana- 

25 ger sind beispielsweise das Man- Machine- Interface 
(MM3) 20, das Archiv 22 zur Aufzeichnung der Ge- 
schichte des Kraftwerks (redundant ausgefuhrt als 22a 
und 22b), der Protokoliverwalter 24 (ebenfalls redun- 
dant ausgefuhrt ais 24a und 24b), der Verwalter 26 fur 

30 die Datenverarbeitung der in Bausteintechnik "orgese- 
henen und hier nicht weiter dargesteilten Leitebene. die 
Datenbank 28 fur Beschreibungsdaten und der Repra- 
sentant 30 des Automatisierungssystems. Wie beispieis- 
weise anhand des Reprasentanten 30 des Automatisie- 

35 rungssystems gezeigt, kann ein Objektmanager auch auf 
mehreren Objektmanager-Komponenten. hier die 
Komponenten 4 bis 8 und 16, gleichzeitig ausgefuhrt 
werden. 

Beim Aniauf des Systems 18 werden von einer dezen- 

40 tral angeordneten Initialisierungsdatei 32 die Anlaufda- 
ten in die Infrastruktur 2 eingegeben. Jeder der Objekt- 
manager-Komponenten 4 bis 16 ha: einen Teil seiner 
zur Verfugung stehenden Rechenleistung reserviert, urn 
die Infrastruktur 2 in hardwaremaBig verschalteter 

45 Form oder auch in softwaremaBig installierter Form zu 
betreiben. Die Anlaufdaten der Initialisierungsdatei 32 
enthalten einen dezentralen Algorithmus, nach dem in 
einer ersten Phase ces Anlaufs die Objektmanager- 
Komponenten 4 bis 16 untereinander Kontakt aufneh- 

53 men und der Infrastruktur 2 und camit alien an der 
Infrastruktur 2 beteiiigten Komponenten 4 bis 16 ihre 
lokal installierten Objektmanager 20 bis 30 bekannt. 
Nach dieser Kontaktaufnahme sind auf jeder Objekt- 
manager-Komponente 4 bis 16 alle anlaufenceaClbjekt- 

55 manager-Komponemen und alle don ex is tie. -end en Ob- 
jektmanager bekannt 

In einer zweiten Phase werden mitiels der Infrastruk- 
tur 2 auf den Objektmanager-Komponenten 4 bis 16 die 
lokal installierten Objektmanager 20 bis 30 gestartet. 
Die Infrastruktur 2 wartet ferner darauf, daB die Ob- 
jektmanager 20 bis 30 ihre Verfugbarkeit als Server 
bekannt gebc:*.. und aktuaiisiert — auch wenn der Cber- 
wachur.ffsmechanismus einen Abbruch eines Objektma- 
n.Tgers erkannt hat — den neuen Zustand zusamrnen mit 
einer cjtaiiiienen Adressinformation auf alien Objekt- 
t an age r- Komponenten 4 bis 16. In einer dritten Phase 
•a erder. die Objektmanager 20 und 26 auf den redundant 
m>- .esir.den Objektmanager-Komponenten 10a. 10b 
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bzw. 12a, 12b gestartet. Dabei datet sich der jeweils uber die Infrastruktur 2 in der Schnittstelle empfangen 

fuhrende Redundanzpartner am alien Objektmanager- werden. Hierbei kann die Schnittstelle als Mehrfach- 

Komponenten 4 bis 16 gemeinsamen AnlaufprozeB auf wartestelle ausgefiihrt sein, so daB es moglich ist, auf die 

und der oder die nicht fiihrenden Objektmanager daten Ergebnisse verschiedener Auftrage unabhangig vonein- 

sich beim jeweils fiihrenden Objektmanager auf. 5 ander warten zu konnen, was sich besonders vorteilhaft 

Die Infrastruktur 2 unterstutzt auch eine weitere An- auf die Synchronisation von Datenaustauschvorgangen 

laufsituation, bei der sich eine abgebrochene Objektma- auswirkt. 

nager-Komponente, beispielsweise die Komponente 6, Der Init-Server 36 wird beim Anlauf des Objektma- 

in ein etabliertes Teilsystem, bestehend aus den Kompo- nagers 30 aufgerufen. Dieser Init-Server 36 startet und 

nenten 4. 8 bis 16. wieder eingliedert. Die sich einglie- ;o uberwacht alle weiteren Prozesse, die auf dem Objekt- 

dernde Objektmanager-Komponente 6 stellt sich zu- manager 30 ausgefiihrt werden. Der Init-Server 36 teilt 

nachst bei einer schon im Teilsystem etablierten Objekt- alien iibrigen Prozessen dariiber hinaus wichtige Konfi- 

manager-Komponente, beispielsweise der Komponente gurations- und Adressinformationen miL Falls der Ob- 

8, vor, indem die Objektmanager-Komponente 6 ihre jektmanager 30 beendet werden soli, wird dies dem Init- 

lokal installierten Objektmanager, hier der Reprasen- 15 Server 36 von der Infrastruktur 2 Qber ein entsprechen- 

tant 30 des Automatisierungssystems. mittcilt. Die loka- des Signal, beispielsweise ein UNIX-Signal, mitgeteilt. 

le Infrastruktur der Objektmanager-Komponente 8, Das Beenden des Objektmanagers 30 wird der Infra- 

dargestellt durch die schraffierte Flache innerhalb des struktur 2 durch das Beenden des Init-Servers 36 mitge- 

Symbols fiir die Objektmanager-Komponente 8, macht teilu 

die sich eingliedernde Objektmanager-Komponente 6 20 Der Server-Hauptteil 38 stellt dem Server fur alle 
im etablierten Teilsystem bekannt. Die sich eingliedern- "Nutzfunktionen" des Objektmanagers 30 dar. Im Ser- 
de Objektmanager-Komponente 6 erhalt von der Kom- ver-Hauptteil 38 ruft das Hauptprogramm nach der ei- 
ponente 8, bei der sie sich vorgestellt hat, die Informa- genen Initialisierung durch den Init-Server 36 eine 
tionen uber die Zustande und Adressen der Objektma- Uberwachungsfunktion auf. Diese Oberwachungsfunk- 
nager-Komponente 4, 8 bis 16 des etablierten Teilsy- 25 tion wartet Qber die gesarnte Lebensdauer des Server- 
stems und der darauf installierten Objektmanager. Auf Hauptteils 38 auf Client-Auftrage und ruft entsprechend 
diese Weise wird die Objektmanager-Komponente 6 in dieser Auftrage Server-Funktionen auf, d. h. der Server- 
das etablierte Teilsystem eingegliedert ohne daB eine Hauptteil 38 wartet in einer Wartestelle in der Infra- 
ubergeordnete Instanz, beispielsweise ein Leitrechner, struktur 2 auf entsprechende Client-Auftrage. Diese 
vorgesehen ist, der die Konfiguration, Zustande und 30 Funktion ist daher eine Art vorgeschobener Horchpo- 
Adressen der iibrigen Objektmanager-Komponenten sten aus dem Objektmanager 30 heraus in die Infra- 
kennt Diese Informationen sind vielmehr auf jeder Ob- struktur 2. Erst wenn der Server-Hauptteil 38 beendet 
jektmanager-Komponente 4 bis 16 im lokalen Teil der wird, verlaBt diese Funktion die Infrastruktur 2 und 
Infrastruktur 2 enthalten, so daB auch jede Anderung kehrtindas Hauptprogramm zuriick. 
des Status einer Objektmanager-Komponente oder ei- 35 Der Server-Obertragungsteil 40 stellt einen in den 
nes Objektmanagers alien Objektmanager-Komponen- ProzeB des Objektmanagers 30 eingebundenen Funk- 
ten unmittelbar zuganglich ist. Dies wirkt sich besonders tionssatz dar, uber den Server antworten (z. B. fur konti- 
vorteilhaft auf die Serverfunktionen der Objektmana- nuieriiche Auftrage) abgegeben werden. Der Server- 
ger und auf die Kenntnis deren Verfugbarkeit im ge- Obertragungsteil 40 ubertragt, falls sich ein Client uber 
samten System 18 aus. In beiden Anlaufsituationen star- 40 den Server-Hauptteil 38 angemeldet hat, die gewiinsch- 
tet die Infrastruktur 2 die lokal installierten Objektma- ten Ereignisse oder sonstige Ereignisse von kontinuierli- 
nager, in dem sie deren Initialisierungsprozesse erzeugt. chen Auftragen. 

Objektmanager, die dem System 18 keine Serverlei- Der Server 42 fur Projektierungsdienste wartet nach 

stung zur Verfugung stellen, sind mit diesem Schritt seiner Aktivierung auf Projektierungsauftrage und legt 

sofort verfugbar. 45 die Projektierungsinformation in eine Objektmanager 

Der Abbruch eines Objektmanagers 20 bis 30 wah- spezifische Datenbasis ab oder gibt sie an die innerhalb 

rend des Anlauf s wirkt sich abhangig vom Vorhanden- des Objektmanagers 30 betroffenen Prozesse weiter. 

sein einer Redundanz auf den Zustand der entsprechen- Die Infrastruktur 2 uberwacht und steuert die ge- 

den Objektmanager-Komponente 4 bis 16 aus: Bei vor- samte Kommunikation in einer Weise, daB jedes Objekt 

handener Redundanz werden die schon aktiven Objekt- 50 ein internes Kennzeichen und einen Auspragungstyp 

manager beendet und die Objektmanager-Komponente umfaBt, anhand deren der Objektmanager, beispielswei- 

wird als "abgebrochen" fiir aile iibrigen Objektmanager- se Objektmanager 30, ermittelbar ist, der dieses Objekt 

Komponenten zuganglich markiert. Ohne vorhandene verwaltet. Hierbei wird unter einem Objekt jede Infor- 

Redundanz wird der Anlauf der Objektmanager-Kom- mation verstancen, die in einer Datenverarbeitungsan- 

ponente fortgesetzt. Nur der vom Abbruch betroffene 55 lage zur Kommunikation von Prozessen ausgetauscht 

Objektmanager wird als "abgebrochen" markiert. oder ubertragen wird. Mit dem Auspragungstyp eines 

In Fig. 2 ist in schematischer Darstellung gezeigt, in Objektes ist beispielsweise zunSchst gemeint, ob dieses 

welcher Weise ein Objektmanager, hier beispielsweise Objekt der verfahrenstechnischen Welt, der leittechni- 

der Objektmanager 30, aufgebaut und in die Infrastruk- schen Welt oder ccr anlagentechnischen Welt zuzuord- 

tur 2 eingebunden ist. Im vorliegenden Fall weist der so nen ist. Weiter beinhaltet der Auspragungstyp ein 

Objektmanager 30 zwei Client-Schnittstellen 32, 34. ei- Klassifizierung des Objekts nach seiner Aufgabenumge- 

nen Init-Server 36, einen Server-Hauptteil 38, einen Ser- bung, beispielsweise kann ein Objekt Alarm- oder Tole- 

ver-Obertragungsteil 40 und einen Server 42 fur Projek- ran7mcldungcn, Hardware-Geratefehlern, Busfehlern 

tierungsdienste auf. oder Funktionsfehlern zugeordnet sein. Das interne 

Ober die Client-Schnittstellen 32. 34, die auch als C 5 Kennzeichen ist nicht gleichbedeutend mit dem Begriff 

Schnittstelle Client- Infrastruktur 2 bczeichnet werden "Adrcssc". wcil das interne Kennzeichen keinerlei Orts- 

kann, werden Auftrage uber die Infrastruktur 2 an Ser- information uber die Lage des Objektes besitzt Dar- 

ver ausgegeben, und es konnen Antworten vom Server uber hmaus kann dem internen Kennzeichen nicht ein- 
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deutig eine Adresse zugeordnet werden. denn verschie- 
dene Datcn eincs Objekts konnen von verschiedenen 
Objektmanagern 20 bis 30 verwahe: werden, die unter 
Umstanden auf verschiedenen Objektrnanager- Kompo- 
nenten 4 bis 16 angesiedelt sind. Auf diese Weise ist mit 
besonders vorteilhafter Wirkur.g eine Adressierung von 
Objekien anhand ihrer Eigenschaften. d. h. eine assozia- 
tive Adressierung, moglich. Hierdurch vereinfacht sich 
die Projektierung, weil ganze Objekt-KJassen ausge- 
wahlt werden konnen, ohne daB deren Lage im einzel- 
nen einem Objektrnanager oder einer Objektmanager- 
Komponente bekann: sein mussen. So kann beispiels- 
weise von dem Objektrnanager 4, dern Man-Machine- 
Interface, das Kommando abgesetzt werden "Suche 
Leittechnikfehier". Auf diese Weise sind in dem gesam- 
ten System 18 nur solche Objekte angesprochen, die 
gemaB ihres internen Kennzeichens und des Auspra- 
gungstyps in die Signalklasse "Leiuechnikfehler" hinein- 
fallen. 

Die Kommunikation im System 18 kann zum einen 
eine von einem Server-gesteuerte diskontinui'erliche 
Kommunikation und zum anderen eine von einem 
Client-gesteuerte, kontinuierliche Kommunikation sein. 
Bei der Server-gesteuerten Kommunikation muB der 
Client den Umfang der Ergebnisse nicht kennen, Teiler- 
gebnisse konnen iibertragen werden, wenn sie anfaUen. 
Durch die Client-gesteuerte Kommunikation wird das 
gesamte Kommunikationsaufkommen im System 18 
verringert. weil keine Auftragswiederholungen not wen- 
dig sine. Die Infrastruktur 2 ist hierbei derart konzipiert, 
daB bei dem Vorliegen eines Kommunikationsauftrages 
eines Clienten alle an diesem Auftrag beteiligten Server 
unmitteibar und nur einmalig zur Datenausgabe aufge- 
fordert sind. Gleichzeitig kann mit einer solchen Auffor- 
derung eine Synchronisationsaufforderung an alle betei- 
ligten Server ergehen.Weiter kann in besonders zweck- 
maBiger Weise die Meldung des Volizugs der Synchro- 
nisation an den Client erst dann ergehen, wenn die Be- 
reitschaft zur Datenausgabe aller venugbaren Server 
vorlieg:, so daB auch hier das Kommunikationsaufkom- 
men besonders gering ist, weii keine Nachfragen des 
Clients nach bestirnrmen Ergebnissen an einzelne Ser- 
ver ergehen. 

Eine weitere vorteilhafte Ausgestaitung der Infra- 
struktur 2 sieht es von daB eine Wiederanmeldung eines 
noch anstehenden Auftrages eines Clienten bei einem 
wiederverfiigbar gewordenen Server vorgesehen ist. 
Die Infrastruktur 2 stellt also Ressourcen bereit, die alle 
im System 18 eingegangenen Auftrage erfa3t und spei- 
chert, falls ein Server zur Aufiragserledigung nicht ver- 
fiigbar ist. Da die Infrastruktur gleichzeitig jede Zu- 
standsande.-ung eines Servers bezugiich seiner Verfug- 
barkeit erfaBt, wird eine Auftragserledigung unmittei- 
bar nach Wiederverfugbarkeit eines Servers "ange- 
mahnt*'. 

Die Infrastruktur 2 ist weiter in der Lage einen Kom- 
munikationsauftrag beziigiich der Parameterversor- 
gung zu priifen und den Auftrag bei fehlerhaner Para- 
meterversorgung unter Angabe eines Fehlercodes ab- 
zulehnen. Auf diese Weise konnen beispielsweise Fehler 
vermieden werden. wenn bei der Suche nach einem 
Leittechnikfehier in der verfahrenstechnischen oder an- 
lagentechnischen Welt gesucht wire. Ein soicher Fehler 
ist nur in der ieittechnischen Weit zu finden.d. h. also bei 
den Datenquellen und Senken. die vom Auspragungstyp 
her mit der Fehlerklasse ubereinstimmen. 

Hierbei kann das dynamische Verhalten der Erledi- 
gung eines Kommunikationsauftrages nachvollziehbar 
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und verifizierbar sein. Eine solche Funktion kann bei- 
spielsweise uber den Protokollverwalter 24 an die dem 
Man-Machine-Interface zugeordneten Drucker ausge- 
geben werden. Dies ist in der Projektierungsphase be- 
sonders bedeutsam. wenn man nachvoilziehen will, wel- 
che Daten wohergeladen wurden. und in welcher Weise 
daraus Ergebnisse berechnet wurcen, und wohin die 
Ergebnisse gesendet wurden. 

In Fig. 3 ist der Cberwachungsmechanismus der Ob- 
jektmanager-Komponenten 4 bis 16 in dem System 18 
dargestellt. Der Mechanism us wird anhand der Objekt- 
manager-Komponenten 4 bis 8 erlautert. Die Objekt- 
manager-Komponente 6 arbeitet bei der Obenvachung 
als Client fur die Objektrnanager- Komponente 8 und als 
Server fur die Objektrnanager- Komponente 4. Die Ob- 
jektmanager-Komponenten 4 bis 16 sind zur Obenva- 
chung ihres Zustandes in einem logischen Ring angeord- 
net, so daB keine ubergeordnete Uberwachungskompo- 
nente erforderlich is:. Die Cberwachung erfoigt nach 
dem Client-Server Prinzip. Die als Client arbeitende 
Objektrnanager- Komponente 6 sendet in definierten 
Zeitabstanden ein Signal (Objekt) an die entsprechend 
als Server ausgebildete Objektrnanager- Komponente 8. 
Diese Komponente 8 sendet daraufhin ein "Lebenszei- 
chen" an die Komponente 6. In gleicher Weise erhalt die 
Komponente 6 von der Komponente 4 in definierten 
Zeitabstanden eine Aufforderung, ein "Lebenszeichen" 
zu senden. Zur Serversuche lauft auf alien Objektmana- 
ger-Komponenten 4 bis 16 der gleiche Algorithrnus ab, 
beispielsweise konnen die Objektmanager-Komponen- 
ten 4 bis 16 ihren Oberwacher und den zu Gberwachen- 
den anhand der aiphabetischen Reihenfolge ihrer Be- 
nennung ermitteln. 

In Fig. 4 ist eine gegenuber Fig. 3 geringfQgig modifi- 
zierte Konfiguration des Systems 18 dargestellt. Hier 
sind die Objektmanager-Komponenten 6 und 10a aus- 
gefallen. Der Server der ausgefaltenen Objektmanager- 
Komponente 6 kennt die Konfiguration dieser Kompo- 
nente und teilt iiber die Infrastruktur 2 den verbleiben- 
den Objektmanager-Komponenten alle mit der Objekt- 
rnanager- Komponente ausgefalienen Objektrnanager 
mit Dies ist im vorliegenden Fall der auf der Objektma- 
nager-Komponente 6 durchgefuhrte Objektrnanager 
30. GemaB der vorgegebenen Aigorithmus hat die Ob- 
jektmanager-Komponente 4 nun nicht die Objektrnana- 
ger- Komponente 6 als Server, sondern die Objektrnana- 
ger-Komponente 8, so daB die im verbleibenden System 
aktiven Objektmanager-Komponenten 4, 8 bis 16 wie- 
der einen iogischen Uberwachungsring bilden. Will sich 
die Objektmanager-Komponente 6 wieder in das Sy- 
stem eingliedern. meidet sie sich bei der Objektmana- 
ger-Komponente 8 an, gibt ihre lokal instaliierten Ob- 
jektrnanager, hier der Objektrnanager 30, bekannt und 
erfahrt von de: Objektmanager-Komponente 8 die 
Konfiguration und Zustande aller ubrigen Objektmana- 
ger-Komponenten. Dies ist durch die gestrichelten Pfei- 
le 44 symbolisiert. 

Ein weiterer Speziaifall is: fur die Objektmanager- 
Komponenten 10a und 10b dargestellt. Diese Kompo- 
nente ist redundant ausgefuhrt. Im gezeigten Fail ist die 
Komoonente 10a ausgefallen. Der Server dieser Kom- 
ponente 10a kennt die Konfiguration dieser Komponen- 
te und die auf dieser Komponente lokal instaliierten 
Objektrnanager, hier das Man-Machine-lnterface 20, 
und teilt den ubrigen Objektmanager-Komponenten. 
die mit der Objektmanager-Komponente ausgefalienen 
Obiektmanager mit. Hierbei ist es die Infrastruktur 2, 
die ein fur alle Objektmanager-Komponenten zugangli- 
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ches Ereignis generiert, das insbesondere den verblei- 
benden Komponenten mitteilt, ob eine Objektmanager- 
Komponente "prozeBfuhrend" oder "nicht-prozeBfiih- 
rend" ist bei redundanter Ausfuhrung der jeweiligen 
Komponente. 5 

Nach dem Ausfail der Komponente 10a erfolgt der 
Zustandsubergang der Objektmanager-Komponente 
von "nicht-prozeBfiihrend" nach "prozeBfuhrend" der 
Komponente 10b selbsttatig. Hierbei kann es weiter 
vorgesehen sein, daB zum Aufdaten von Objektmana- to 
gern auf wiederanlaufenden redundanten Objektmana- 
ger-Komponenten der prozeBfuhrende Server auf Auf- 
trag ein konsistentes Abbild seiner ProzeBdaten erstellt 
und zum aufrufenden Client, hier der Server der ausge- 
fallenen Objektmanager-Komponente 10a, ubertragt 15 
Urn den Redundanz-Zustand einer Objektmanager- 
Komponente fur die ubrigen Komponenten zuganglich 
zu machen, ist es vorgesehen, daB jede Objektmanager- 
Komponente 4 bis 16 oder jeder Objektmanager in dem 
entsprechenden Server- Hauptteil 38 eine Schnittstelle 20 
aufweist, die eine Anderung des Redundanz-Zustandes 
der jeweils anderen Objektmanager- Komponenten 
oder Objektmanager erfaBt. 

Insbesondere fur die Handhabung einer sicheren Da- 
tenubertragung von redundant ausgefuhrten Objektma- 25 
nager-Komponenten ist die Infrastruktur 2 derart aus- 
gestaltet, daB die Obermittlung eines datenlesenden 
Auftrages selbsttatig an den prozeBfuhrenden Server 
erfolgt Hierzu dient beispielsweise der Eintrag in der 
vorstehend genannten Schnittstelle bezuglich des Zu- 30 
stands einer Objektmanager-Komponente oder eines 
Objektmanagers. Gleichzeitig sorgt die Infrastruktur 2 
dafur, daB die Obermittlung eines datenschreibenden 
Auftrages an alle zueinancer redundanten Objektmana- 
ger-Komponenten oder Objektmanager erfolgt, so daB 35 
der nicht prozeBfiihrende Teil jederzeit in der Lage ist, 
die ProzeBfiihrung zu ubernehmen. 

Auch der logische Ring zur Oberwachung der Ob- 
jektmanager-Komponenten 4 bis 16 schlieBt sich bei 
dem Ausfail der Objektmanager-Komponente 10a 40 
selbsttatig, weil die Objektmanager-Komponenten 4 
und 12a, 12b automatisch auf die redundante Objektma- 
nager-Komponente 10b umschalten, die ihren Zustand 
von "nicht-prozeBfuhrend" nach "prozeBfuhrend" gean- 
dert hat, wie dies die Pfeile 46, 48 symbolisieren. 45 

In Fig. 5 ist nochmais der logische Ring zur Oberwa- 
chung der Objektmanager-Komponenten 4 bis 16 sche- 
matisch dargestellt. Hierbei soli deutlich gemacht wer- 
den, daB die Oberwachung in zwei Oberwachungsebe- 
nen erfolgt. In der ersten Oberwachungsebene iiberwa- 50 
chen sich die Objektmanager-Komponenten 4 bis 16 
selbsttatig im gemaB Fig. 3 beschriebenen Ring. Dies ist 
in Fig. 5 durch die Pfeilverbindungen von Objektmana- 
ger-Komponente zu Objektmanager-Komponente 
symbolisiert 55 

An der hier ausgewahlten Objektmanager-Kompo- 
nente 14 ist die zweite Oberwachungsebene schema- 
tisch dargestellt. Innerhalb einer Objektmanager-Kom- 
ponente werden zyklisch wiederkehrend die Zustance 
der einzelnen lokal installierten Objektmanager, hier 60 
der redundant ausgefiihrte Protokollverwalter 24a, 24b 
und die Datenbank 28 fur Beschreibungsdaten, uber- 
wacht. Auf diese Weise ist eine Entkopplung der Ober- 
wachungsprozesse fur Objektmanager-Komponenten 
und Objektmanager erreicht, so daB beispielsweise nach 65 
dem Ausfail eines einzelnen Objektmanagers nicht die 
gesamte Objektmanager-Komponente als ausgefallen 
gemeldet werden muB. 
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1. Infrastruktur (2) fur ein System (18) von verteil- 
ten Objektmanager-Komponenten (4 bis 16), insbe- 
sondere fur ein Leitsystem einer Kraftwerksanlage, 
mit einer Anzahl von rechnergestutzten Objektma- 
nager-Komponenten (4 bis 16), die jeweils minde- 
stens einen Objektmanager (20 bis 30) ausfuhren, 
wobei die Objektmanager-Komponenten (4 bis 16) 
zur Oberwachung ihres Zustandes in einem logi- 
schen Ring angeordnet sind 

2. Infrastruktur (2) nach Anspruch 1, dadurch ge- 
kennzeichnet, daB die Oberwachung nach dem 
Client-Server-Prinzip erfolgt. 

3. Infrastruktur (2) nach Anspruch 2, dadurch ge- 
kennzeichnet, daB eine Objektmanager-Kompo- 
nente (6) als Client in definierten Zeitabstanden ein 
Signal an die entsprechende als Server ausgebilde- 
te Objektmanager-Komponente (8) sendet. 

4. Infrastruktur (2) nach Anspruch 2 oder 3, dadurch 
gekennzeichnet, daB auf alien Objektmanager- 
Komponenten (4 bis 16) ein gleich ablaufender Al- 
gorithmus zur Server-Suche vorgesehen ist. 

5. Infrastruktur (2) nach einem der Ansprtiche 2 bis 

4, dadurch gekennzeichnet, daB der Server einer 
ausgefallenen Objektmanager-Komponente (6, 
10a) deren Konfiguration kennt und den verblei- 
benden Objektmanager-Komponenten (4, 8, 10b, 
12a, 12b, 14, 16) aile mit der Objektmanager-Kom- 
ponente (6, 10a) ausgefallenen Objektmanager (30 
bzw. 20) mitteilt 

6. Infrastruktur (2) nach einem der Anspruche 1 bis 

5, dadurch gekennzeichnet, daB in einer ersten 
Oberwachungsebene die Objektmanager-Kompo- 
nenten (4 bis 16) und in einer zweiten Oberwa- 
chungsebene die auf den Objektmanager-Kompo- 
nenten (4 bis 16) installierten Objektmanager (20 
bis 30) uberwacht werden. 

7. Infrastruktur (2) nach einem der Anspruche I bis 

6, dadurch gekennzeichnet, daB beim unbeabsich- 
tigten Ausfail eines Objektmanagers oder einer 
Objektmanager-Komponente (Sollwert-Abwei- 
chung) und bei der Wiederherstellung eines ausge- 
fallenen Objektmanagers oder einer ausgefallenen 
Objektmanager-Komponente (Sollwert-Errei- 
chung) ein fur alle Objektmanager-Komponenten 
erfaBbares Ereignis generierbar ist. 
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